Thibaut Posted October 10, 2018 Share Posted October 10, 2018 Bonjour à toutes et à tous, Je travaille sur plusieurs sites sous Prestashop. Sur deux d'entre eux (version 1.6), les plus importants, je constate une recrudescence de "fausses" commandes en chèque et en virement. Il s'agit de commande de montants très importants, avec de faux noms, etc. Tout est très grossier et je peux facilement voir que ce sont des fausses commandes. Je ne trouve pas de point commun pour les bloquer. J'envisageais de jouer sur les IP, mais j'ai peur de bloquer de vrais clients. Avez-vous déjà été confrontés à ce type de problème et, si tel est le cas, comment avez-vous solutionné cela ? Merci par avance pour votre aide. Thibaut Link to comment Share on other sites More sharing options...
doekia Posted October 10, 2018 Share Posted October 10, 2018 Comment peux-tu facilement voir que ce sont des fausses commandes? Peut-être peux tu "coder" cette même détection Avec une url c'est plus simple Avec une version EXACTE de prestashop, encore mieux. 1 Link to comment Share on other sites More sharing options...
Eolia Posted October 10, 2018 Share Posted October 10, 2018 Chez plusieurs clients je n'active ce mode de paiement qu'à partir de la 2ème commande (si la première a été validée) Link to comment Share on other sites More sharing options...
Thibaut Posted October 10, 2018 Author Share Posted October 10, 2018 16 minutes ago, doekia said: Comment peux-tu facilement voir que ce sont des fausses commandes? Peut-être peux tu "coder" cette même détection Avec une url c'est plus simple Avec une version EXACTE de prestashop, encore mieux. Hello doekia, merci de t'intéresser à mon post ! Pour des raisons de confidentialité, je ne peux pas mentionner d'URL, malheureusement. La version est 1.6.1.3 sur un site et 1.6.1.5 sur un second. Je peux voir qu'il s'agit de fausses commandes, car outre un montant bien plus élevé que le panier moyen, le client commande souvent : - 2 ou 3 produits du même type, à forte valeur. Exemple grossier : 2 ou 3 voitures. - Des produits qui n'ont rien à voir. Exemple : un smartphone et une souris de PC. - Parfois des noms à consonance anglo-saxonnes, asiatiques, etc. C'est vraiment en regardant la commande qu'on sent qu'il s'agit d'une fausse. On fait appeler le service client pour vérifier avec le client qu'il n'y a pas d'erreur et il s'agit généralement d'un faux numéro ou le numéro d'une personne n'ayant rien commandé. Qu'entends-tu par "coder" cette détection ? Enfin, ton idée de n'activer ces modes de paiement qu'à la seconde commande est intéressant. Il faudrait que je refasse le point sur le ratio fausses commandes chèque/virement / total commandes chèque/virement, afin de voir si passer sur ce mode n'est pas trop pénalisant ! Link to comment Share on other sites More sharing options...
Asu34 Posted October 10, 2018 Share Posted October 10, 2018 Bonjour, je suis victime des même attaques. De mon côté ils procèdent ainsi : Ils arrivent à changer les mdp admin me faisant perdre de précieuses minutes, Ils créent un faux client (visiblement à la main) car ai des captcha à peu près partout Ils créent des commandes en masses en l'espace de quelques minutes Avez-vous de votre côté le soucis également des mots de passe admin modifiés ? Link to comment Share on other sites More sharing options...
Asu34 Posted October 10, 2018 Share Posted October 10, 2018 De mon côté beaucoup de premières commandes sont effectuées par virement, en effet le panier moyen est de 1500€ et les CB ne passent pas toujours. Je me demandais s'il ne serait pas possible d'afficher par exemple un message de ce type "Vous souhaitez payer votre commande par chèque ou par virement, contactez-nous". Et de ce fait on afficherait ces modules pour les clients qui en feraient la demande. Link to comment Share on other sites More sharing options...
Asu34 Posted October 10, 2018 Share Posted October 10, 2018 Je pense que ceci serait paramétrable en créant par exemple un groupe de client Virement & Chèque, et associer les modules et les clients à ce groupe s'ils en font la demande. Qu'en pensez-vous ? Link to comment Share on other sites More sharing options...
Thibaut Posted October 10, 2018 Author Share Posted October 10, 2018 2 hours ago, rricci34 said: Bonjour, je suis victime des même attaques. De mon côté ils procèdent ainsi : Ils arrivent à changer les mdp admin me faisant perdre de précieuses minutes, Ils créent un faux client (visiblement à la main) car ai des captcha à peu près partout Ils créent des commandes en masses en l'espace de quelques minutes Avez-vous de votre côté le soucis également des mots de passe admin modifiés ? Bonjour, Merci pour votre contribution à ce sujet. Non, je n'ai pas de soucis aussi poussés, il s'agit simplement de personnes créant un compte et passant une ou plusieurs fausses commandes par ces deux modes de paiement. J'ai l'impression que pour vous, il s'agit de quelque chose de plus puissant et massif... Link to comment Share on other sites More sharing options...
Thibaut Posted October 10, 2018 Author Share Posted October 10, 2018 39 minutes ago, rricci34 said: Je pense que ceci serait paramétrable en créant par exemple un groupe de client Virement & Chèque, et associer les modules et les clients à ce groupe s'ils en font la demande. Qu'en pensez-vous ? Je ne suis pas développeur, mais je pense que vous pouvez le faire ainsi. Toutefois, cela demande de la gestion manuelle, tout dépend votre nombre de commandes. De mon côté, ce ne serait pas possible, par ex. Link to comment Share on other sites More sharing options...
magicbel Posted October 10, 2018 Share Posted October 10, 2018 Il y a 9 heures, rricci34 a dit : Ils arrivent à changer les mdp admin me faisant perdre de précieuses minutes, Si c'est le cas, vous avez un sérieux problème ! Non seulement pour votre shop mais aussi pour l'intégrité et la confidentialité des données de vos clients..... #RGPD Il serait peut être temps d'y remédier non? Link to comment Share on other sites More sharing options...
Asu34 Posted October 11, 2018 Share Posted October 11, 2018 7 hours ago, magicbel said: mais aussi pour l'intégrité et la confidentialité des données de vos clients..... #RGPD Il serait peut être temps d'y remédier non? Merci beaucoup pour votre conseil constructif, je me croisais les doigts justement... Pour info je veille dessus et pour les comptes admin ils ne changent que les mots de passe sans s'y connecter. Je ne pense donc pas qu'ils aient accès à ces données confidentielles (enfin je l'espère)... Link to comment Share on other sites More sharing options...
doekia Posted October 11, 2018 Share Posted October 11, 2018 Changer les mots de passe veux dire qu'ils ont accès à l'intégralité des données. Donc la bdd entière, donc les données privées. Peux-tu me re-PM ton FTP que je diag ton problème. Link to comment Share on other sites More sharing options...
Eolia Posted October 14, 2018 Share Posted October 14, 2018 Non il n'y a pas d'option nativement, c'est une modification du code du module. Link to comment Share on other sites More sharing options...
doekia Posted October 14, 2018 Share Posted October 14, 2018 Au cas où j'ai fait un correctif sur cheque et bankwire pour limiter la casse en cas d'attaque flood robotisé. https://store.enter-solutions.com/fr/76-cheque-avec-limite-d-en-cours.html Link to comment Share on other sites More sharing options...
Thibaut Posted October 15, 2018 Author Share Posted October 15, 2018 13 hours ago, doekia said: Au cas où j'ai fait un correctif sur cheque et bankwire pour limiter la casse en cas d'attaque flood robotisé. https://store.enter-solutions.com/fr/76-cheque-avec-limite-d-en-cours.html Excellente idée ! Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now